Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
5 maneiras de estressar um CISO
Home > Gestão

5 maneiras de estressar um CISO

O que mantém os CISOs acordados à noite para informar quais lacunas a próxima rodada de produtos de segurança corporativa precisa resolver?

Yoav Leitersdorf, CIO (EUA)

23/03/2020 às 10h00

Foto: Shutterstock

Por que os fornecedores de segurança mantêm os CISOs acordados à noite? Muitas dessas respostas parecem estar na correção dos riscos e danos ocasionais dos fornecedores e produtos existentes. "O termo 'produto mínimo viável' não funciona bem em segurança", aconselha o CISO da Motorola Mobility e o consultor da YL Ventures, Richard Rushing. Esse aviso foi uma das muitas revelações gritantes que tive durante uma conversa com líderes de segurança cibernética. Abaixo, destaco os principais obstáculos que esses líderes gostariam de eliminar

Construir produtos ambiciosos e com vários recursos entregues parcialmente

O argumento de Rushing é voltado especificamente para um dos maiores contribuintes para a fadiga do CISO no mercado atual. Em uma tendência crescente do mercado, os empreendedores de segurança cibernética estão buscando construir empresas cada vez maiores, oferecendo produtos ambiciosos e com vários recursos o mais cedo possível. Embora louvável, essa ambição levou a uma superlotação significativa do mercado por plataformas imaturas.

De acordo com essa narrativa, muitas startups - até 95%, afirma Jay Leek, diretor-gerente da ClearSky - são realmente especializadas em apenas uma fração dos recursos que suas plataformas oferecem. Diante de restrições de recursos e tempo, sua alta quantidade de soluções não pode deixar de custar a qualidade de pelo menos algumas.

Isso representa riscos que os executivos cibernéticos não podem se dar ao luxo de assumir. “Se você me vender um produto e ele tiver dois recursos bons e três moderadamente bons - ou ruins -, você falhou comigo. Não basta apenas focar em três de cinco. Todos os cinco devem estar no local, porque não posso errar, o que significa que você não pode errar”, declara o CISO da GSK, Dawn-Marie Hutchinson.

CIO2503

E-book por:

Rushing concorda, revelando que mesmo as soluções de cibersegurança de "marcas de renome" são culpadas dessa abordagem. Sem margem de erro permitida para os CISOs, uma advertência pode ser o suficiente para um fornecedor entrar na lista dos rejeitados.

Alguns da indústria se interessaram com Jay Leek, diretor da Clearsky, oferecendo o seguinte aviso aos colegas investidores: "Como patrocinador de um empreendimento, estou lhe dizendo que uma empresa em amadurecimento não pode travar mais de três a cinco batalhas. Então, quando você ouvir que alguém está lutando mais do que isso, corra muito, porque eles estão fazendo muita coisa”.

Nesse sentido, o vice-presidente da GGV Capital, Oren Yunger, aconselha os empresários de segurança cibernética a serem introspectivos e certos de que eles possam realmente cumprir todas as suas declarações. “Você não pode ser tudo para todos, porque caso contrário, você não será nada para ninguém. Então, tome uma decisão. Em que você vai se concentrar? E faça certo”, diz.

Tratar seus clientes como parceiros de design sem o conhecimento deles

A transparência em torno de recursos menos desenvolvidos é fundamental. Atualmente, muitos CISOs lutam com os fornecedores de controle de qualidade clandestinamente, com recursos menos desenvolvidos em seus ambientes. Os empresários devem observar que essa é uma maneira infalível de mostrar a porta.

“O ambiente de produção do seu cliente não é o seu ambiente de controle de qualidade embelezado”, censura Leek. “Portanto, por mais recursos de controle de qualidade que você tenha atualmente, não importa qual seja esse número, você não pode se dar ao luxo de irritar seu cliente fazendo isso, especialmente em escala”, diz. Alguém poderia pensar que isso é desnecessário. No entanto, a maioria dos especialistas que consultei reconhece que esse tipo de comportamento obscuro ocorre surpreendentemente com frequência. Os fornecedores devem ser francos se estiverem procurando um parceiro de design, especialmente porque muitos CISOs ficam felizes em agradecer quando a oferta é relevante.

Falha na escala no ambiente de seus clientes

A transparência e o estabelecimento realista de expectativas em torno da escalabilidade da plataforma colocam desafios adicionais aos CISOs. "Depois que você vai além da consolidação de soluções, o próximo maior problema é aplicá-las em escala", diz Mickey Boodaei, CEO e fundador da Transmit Security, acrescentando que os produtos que conseguem ter sucesso no mercado atual são os que melhor o fazem.

Este ponto está se tornando crítico, pois a escala dos ataques aumenta rapidamente, de acordo com Dino Boukouris, diretor fundador da Momentum Cyber. "Estamos vendo o lado ofensivo empregar os mesmos chavões que guiam nossas capacidades defensivas. E estão usando isso para lançar ataques de maior escala, mais flexíveis e ágeis, mais dinâmicos e até mais desafiadores", explica.

Dado que muitos desses ataques são apoiados por organizações criminosas e estados-nação bem financiados, a pressão não deve diminuir tão cedo. “O armamento é incrivelmente rápido hoje”, acrescenta Rushing.

Oferecer soluções que impedem a produtividade ou reduzem a velocidade das equipes de segurança

Muitos CISOs estão sentindo esse calor e isso é agravado por outro desafio significativo criado pelos fornecedores. Em muitos casos, longe de oferecer soluções mais dinâmicas e ágeis para combater esses ataques intensificados, um bom número de fornecedores está diminuindo a velocidade das equipes de segurança. “Isso geralmente ocorre devido a um problema no fluxo de trabalho, problemas na extração de dados da ferramenta de maneira significativa ou no que a ferramenta está realmente relatando”, explica Rushing.

Ele afirma que isso é crítico à luz do estresse causado pela falta de talentos. “A coisa mais preciosa que tenho é o tempo da minha equipe, porque é realmente difícil multiplicar isso. Portanto, mesmo que sua solução seja realmente boa, se você está atrasando meu pessoal, você estará fora”, afirma.

Pete Bodine, diretor administrativo da AllegisCyber ​​Capital, enfatiza o quão importante é a produtividade e compartilha que o mercado está procurando soluções que podem obter de 0,5 a 0,6% a mais de produtividade das equipes. “Os CISOs não podem adquirir aqueles recursos com rapidez suficiente, então as coisas pelas quais eles pagarão mais são os que alavancam os recursos e o pessoal que já estão lá”, fala.

É nesse ponto final da produtividade que Bodine revela o molho secreto para um investimento garantido para os empreendedores. “Não posso enfatizar quanta diferença a produtividade faz para os CISOs que consultamos. Portanto, como investidor, nossa atenção é imediatamente despertada quando descobrimos que um POC consumia menos recursos do que um POC comum, porque muitas vezes isso significa que eles desenvolveram seu processo cedo o suficiente com uma pessoa da satisfação ao cliente. Realmente não vemos isso com muita frequência, mas, quando o fizemos, escrevemos um cheque quase no mesmo instante, só porque eles tiram tanta areia das engrenagens e facilitam muito a ocorrência de uma decisão”, comenta.

Falha ao integrar suas ferramentas de privacidade no ambiente delas

O mercado de privacidade é outra área que deve observar especialmente isso, pois muitos CISOs também estão assumindo a propriedade dos escritórios de privacidade de suas organizações. Segundo nossos especialistas, eles ainda têm um longo caminho a percorrer.

"As integrações de privacidade às ferramentas de segurança ainda não estão lá. Elas são realmente apenas uma espécie de planilhas de Excel embelezadas com uma cobertura bonita. Quase não há nada técnico ou inovador por trás da maioria das soluções de privacidade atuais. No momento, eles realmente estão criando mais trabalho para mim", lamenta Hutchinson.

Como empreendedor, pode ser muito tentador abordar “a próxima grande novidade” em segurança cibernética, do ponto de vista do oceano azul ou do campo verde. No entanto, essas conversas confirmam que a verdadeira chave do coração de um CISO é a transparência, a especialização, a simplicidade e a otimização do que eles já possuem. Os CISOs estão cansados ​​e cautelosos com promessas abrangentes.

A mensagem deles é alta e clara e, como investidor em estágio inicial, incentivo os empreendedores a prestar atenção no aviso. A árdua batalha rumo ao verdadeiro crescimento das empresas de cibersegurança ficou mais acentuada do que nunca. Para isso, os empreendedores devem colaborar extensivamente para garantir que seu produto realmente se traduza em uma excelente plataforma de vários recursos.

A questão agora é como eles podem colocar o pé na porta. Nesse cenário em mudança, a verdadeira chave do sucesso é fazer as alianças certas. Para esse fim, os empreendedores devem ser estratégicos no tipo de investidor que abordam, garantindo a parceria com empresas bem conectadas que podem ajudar a obter esses parceiros críticos de design em seu nome.

Tags
Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15